Под тестом на проникновение понимается санкционированное проведение атак на сетевом уровне и на уровне приложений на все публично доступные сервисы компании из сети Интернет (т.е. внешний тест на проникновение) и внутренние ресурсы, входящие в область аудита PCI DSS (внутренний активный аудит защищённости). Тест на проникновение призван подтвердить или опровергнуть возможность несанкционированного доступа к защищаемой информации, используя найденные в процессе тестирования уязвимости.

В процессе проведения тестирования на проникновение не исключены ситуации, когда действия пентестера могут причинить ущерб интересам третьих лиц. Например, когда тестирование проводится в облачной среде. Возникает вопрос: кто будет нести ответственность? Давайте разбираться.

В первую очередь, основанием проведения тестирования на проникновение является договор. В силу ст. 432 ГК РФ договор считается заключенным, если сторонами достигнуто соглашение по всем существенным условиям. Для договора на оказание услуг существенными являются условия о предмете, цене и сроке оказания услуг. Следовательно, в обязательном порядке в договоре необходимо согласовать следующие моменты:

  • Предмет договора, включающий в себя объект тестирования и перечень действий, которые необходимо произвести. Здесь следует указать количество сетей, подсетей, компьютеров, диапазон IP-адресов в одной сети. Важно чётко обозначить объект тестирования, исключив те объекты, которые проверять не нужно.
  • Срок оказания услуг — период времени, когда будет проводиться тестирование на проникновение.
  • Стоимость проведения тестирования на проникновение.

Проводя обучение по программам практической подготовки в области информационной безопасности, мы сталкиваемся с вопросами, которые по сути относятся к теме, но выходят за пределы этих программ. Такие вопросы мы решили разбирать отдельно.

Поскольку тестирование на проникновение подразумевает использование инструментария для взлома, что влечёт за собой риск повреждения, изменения или удаления данных, то в договоре также необходимо предусмотреть обязанность заказчика предварительно произвести резервное копирование данных.

Если тестирование проводится в облачной среде или если объект тестирования расположен на арендованном сервере, то требуется письменное разрешение поставщика облачных услуг или собственника сервера на выполнение действий, указанных в договоре. Они должны убедиться, что тестирование на проникновение ограничено только той областью сети, которую запросил их клиент.

Также в ходе тестирования на проникновение, если уязвимости найдены и их эксплуатация прошла успешно, не исключена вероятность того, что пентестеру станут известны сведения, составляющие охраняемую законом тайну. Например, в корневой директории Web-сервера обнаружен файл «example.zip». Пентестеру необходимо понять какая информация в нём содержится, чтобы спланировать дальнейшие действия. На практике файл может содержать в себе любую информацию, в том числе и конфиденциальную. В связи с этим между заказчиком и исполнителем заключается соглашение о неразглашении конфиденциальной информации.

В процессе тестирования на проникновение возможны ситуации, когда пентестер обнаружил уязвимости, которые могут повлиять на третье лицо, поскольку сети третьего лица и заказчика взаимосвязаны. Возникает вопрос: должен ли в таком случае пентестер предупредить третью сторону?
Однозначного ответа на данный вопрос нет, поскольку здесь следует руководствоваться не только правовыми, но и этическими нормами, а распространение информации, которая стала известна пентестеру в результате проведения работ, становится возможным лишь по предварительному согласованию с заказчиком.

Ещё одна ситуация, когда тестирование на проникновение действующей системы само по себе потенциально может причинить вред (повреждение или уничтожение данных), даже если пентестер действовал в рамках согласованных с заказчиком действий. Такие последствия могут наступить в результате ответов пользователей на непосредственно тестирование (например, их попытки устранить возникающие ошибки). В таком случае заказчик должен понимать и принимать риски, связанные с проведением пентеста, в том числе быть готовым нести ответственность за вред, причинённый третьим лицам в связи с проведением тестирования на проникновение, это также следует указать в договоре.

В вопросах, не урегулированных договором, стороны должны руководствоваться действующим законодательством. Так, например, если сторонами не согласованы вопросы ответственности перед третьими лицами за вред, причинённый в результате проведения тестирования на проникновение, то «по умолчанию» необходимо будет руководствоваться положениями гл. 59 ГК РФ. Так, в ст. 1064 установлена презумпция вины причинителя вреда. В связи с этим лицо, причинившее вред, должно будет доказать отсутствие своей вины.

Таким образом, ответ на вопрос «кто несёт ответственность?» будет зависеть от содержания договора, а также от того, насколько добросовестно ведут себя договорившиеся стороны. Чтобы избежать неопределённости в этом вопросе, необходимо ещё «на берегу», до проведения тестирования, разграничить пределы ответственности исполнителя и заказчика, максимально точно указать объект тестирования и круг выполняемых действий.